Astaroth木马利用GitHub动态重定向 窃取南美用户银行与加密货币凭证

近日，网络安全公司McAfee的研究团队发现一种名为Astaroth的银行木马病毒正在通过GitHub存储库更新其服务器配置，以规避执法机构或安全团队对其命令和控制服务器的关闭。这种策略使攻击者能在现有服务器离线时迅速切换至新服务器，维持攻击链的持续性。 该恶意软件主要通过网络钓鱼电子邮件传播，诱导受害者下载伪装成Windows快捷方式（.lnk）文件的附件，从而在主机上安装恶意程序。一旦感染，Astaroth会在后台运行，使用键盘记录技术窃取受害者的银行账户和加密货币凭证，并通过Ngrok反向代理将这些敏感信息发送到攻击者的服务器。 据McAfee威胁研究与响应总监Abhishek Karnik介绍，Astaroth的独特之处在于它利用GitHub存储库托管配置文件，而不是直接托管恶意软件本身。这种方式使得攻击者能够在命令和控制服务器被关闭时迅速切换到新的服务器。 “GitHub并不是用来托管恶意软件，而是用来托管指向机器人服务器的配置。”Karnik在接受采访时解释道。 这种策略与此前发现的一些攻击活动有所不同，例如2024年McAfee曾揭露的Redline Stealer恶意软件迁移到GitHub存储库的案例，以及今年GitVenom活动中类似的战术。 H2: 集中攻击南美地区 根据分析，Astaroth的主要目标是南美洲国家，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。此外，该恶意软件还能针对葡萄牙和意大利的部分系统，但经过特殊设计，不会影响美国及其他英语国家（如英国）的用户。 Astaroth具备一定的反分析能力，当检测到分析工具运行时会自动关闭；而如果发现浏览器访问特定银行网站，则会激活键盘记录功能。被盯上的银行网站包括caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br和btgpactual.com等。同时，它还针对以下与加密货币相关的域名：etherscan.io、Binance.com、bitcointrade.com.br、metamask.io、foxbit.com.br和localbitcoins.com。 为了防范此类威胁，McAfee建议用户不要轻易打开未知发件人发送的附件或链接，始终保持防病毒软件为最新版本，并启用双因素身份验证以提高安全性。 当前，该攻击模式已引发对关键基础设施与个人数字资产安全的广泛关注。随着攻击者不断采用更隐蔽的技术手段，区块链分析与实时威胁监测的重要性日益凸显。未来，如何在开放平台如GitHub上建立更有效的恶意行为识别机制，将成为全球网络安全治理的关键议题。